茫茫網海中的冷日
         
茫茫網海中的冷日
發生過的事,不可能遺忘,只是想不起來而已!
 恭喜您是本站第 1671761 位訪客!  登入  | 註冊
主選單

Google 自訂搜尋

Goole 廣告

隨機相片
IMG_00011.jpg

授權條款

使用者登入
使用者名稱:

密碼:


忘了密碼?

現在就註冊!

一網情深 : [分享]從安全、部署及管理思考企業無線網路

討論區主頁 - 主題一覽 > 一網情深 > [分享]從安全、部署及管理思考企業無線網路
討論串 | 最新的先
前一個主題 | 下一個主題 | 頁尾
主題一覽的上方
發表者 討論內容
冷日
(冷日)		 發表時間:2005/6/27 2:12
Webmaster
  • 註冊日: 2008/2/19
  • 來自:
  • 發表數: 15771
[分享]從安全、部署及管理思考企業無線網路
從安全、部署及管理思考企業無線網路

早期企業多從無線基地臺的概念建置無線網路環境,管理上也較少琢磨,大多從安全加密的方式著手,利用WEP或WPA管理無線網路,部署的方式也是依據自身的經驗自行處理,認為無線網路的功能是輔助有線網路,讓網路能擴展到無接縫、無死角,但是這種方式不是浪費成本,無法確保部署的效益,網管人員平日必須處理眾多雜事,若無線環境不容易管理,則投資效益更是大打折扣,駭客也可能利用管理上的疏失,入侵網路並盜取重要資料,因此建置無線網路必須從整體思維出發,不單只是無線基地臺,更必須擴大到後端管理機制,甚至整合有線網路,讓管理網路單純化。

此外,無線網路不像有線網路有路徑可尋,無線溢波讓無線網路的範圍無法控制,只要用戶端在溢波範圍的任何一個角落,都可以利用無線網路連結企業網路,管理上更為複雜,因此,建置時必須考量到安全性的問題,一般大多採用WEP或WPA加密提高無線安全,但是這些安全加密設計不良,可從網路搜尋解碼程式(以WEP 64位元為例,約6到8小時即可破解),因此,企業建置安全無線網路遠比有線網路複雜,但是也唯有提供安全的企業無線網路,才能減少後續維護上的困難,確保資料傳遞的安全性,才能提高企業接收無線網路的效益。

部署正確的無線網路環境,減少設備成本支出
我們這次採訪幾個案例,都是當初沒有考慮清楚無線環境,部署後卻發現問題很多,反而增加後續維護負擔,其中一個是位於民生東路與松江路口的城邦出版集團,早在去年搬入時就已經部署無線網路環境,而當時認為有需要無線網路,因此在每層樓架設1臺Cisco Aironet 1100無線基地臺,透過WPA加密確保無線安全,但是部署無線基地臺的位置,單純只依靠自身經驗,利用樓層平面圖分析中心點位置,自行架設無線基地臺,這種方式無法保證無線網路涵蓋範圍,而且樓層隔間眾多,無線訊號更無法穩定傳輸。

另一個是撼訊科技,早期撼訊科技主要以個人電腦處理資料,後來慢慢轉移為筆記型電腦,因為筆記型電腦能提高工作效率,而且維護也較個人電腦容易,目前公司約80%員工都採用筆記型電腦,雖然當時由外包廠商部署無線環境,但並沒有考慮到用戶端電腦的需求會從有線網路轉移成無線網路,每當所有人都集中在會議室開會時,會議室附近的無線基地臺負載量很高,也無法確保無線網路的品質效益。

因此,部署無線網路必須同時考量涵蓋範圍及同時上線人數,目前主流無線基地臺大多以802.11g或802.11b/g為主,除了涵蓋範圍廣,傳輸效率也較好(802.11a的傳輸效率好,但涵蓋範圍較小;802.11b的涵蓋範圍較廣,但傳輸效率較弱),但卻是採用2.4GHz頻道,此頻道干擾源眾多,例如藍芽、微波爐等,加上臺灣辦公環境樓層眾多,大多採用隔間構成,對無線訊號有一定阻檔層度,因此部署無線基地臺時必須考量的附近干擾物。

此外,是否需要保證最低通道負載能力,也影響部署無線環境結果,雖然一般無線基地臺並不會限制同時使用人數,但無線訊號採用頻寬共享的概念,越多人上線則頻寬效率越差,若要保證頻寬效率,以802.11g為例,實際傳輸速率約20Mbps,每人至少應獲得1Mbps才能提供穩定頻寬的情況下,1臺無線基地臺負載20人同時上線,就已經達到效能極限。所以若再加入同時上線人數的變因,則影響無線基地臺的密度,更提高建置成本,而且無線基地臺密度越高,相互干擾越複雜,如何有效設定無線頻道及訊號,都是建置時必須考量的因素。

集中式管理,減少管理負擔
前端無線基地臺部署完成後,接下來必須考量如何有效管理無線網路,D-Link產品管理暨發展處協理張家瑜表示,部署超過10臺無線基地臺,若沒有有效管理設備的方式,只要某1臺設備有問題,光是發掘原因就必須花費許多時間,而且無線訊號相互干擾因素複雜,無法保證更改某臺無線基地臺設定後,是否會影響其他設備。因此,我們建議在後端架設無線控制閘道器,以集中管理無線網路問題。

無線控制閘道器最基本的功能是人員管理及分析無線基地臺流量,一般企業大多以Windows AD為員工帳號資料庫,無線控制閘道器則能擷取Windows AD帳號,直接提供無線網路使用,不需要額外建置無線網路用戶專用帳號,雖然企業級的無線基地臺也能內建或擷取外部帳號資料庫,但當需要變更帳號資料時,還是必須操作每臺設備,管理上較麻煩。

無線控制閘道器則採用導入的方式,將每臺無線基地臺的訊號導入閘道器,再回傳數值給帳號資料庫,若未來需要變動員工帳號,只需要修改帳號資料庫即可,不需更動任何無線網路設備,只是有些無線控制閘道器無法直接讀取Windows AD(Active Directory)帳號,必須透過RADIUS轉換,專用的RADIUS伺服器約數十萬元,成本昂貴,建議可直接使用Windows IAS(Internet Authentication Service),只要企業有採購Windows伺服器作業系統,就已經包含此功能。

進階強化無線網路安全
除了從認證機制提升無線網路安全外,更必須思考無線網路的使用政策,例如無線加密及認證方式、員工申請無線網路流程及管理非法無線訊號,現在的無線網卡多能提供Ad Hoc能力,使用者經常在不知覺下啟動Ad Hoc,而且電腦還連接企業內部網路,讓駭客從此漏洞入侵公司網路,若控制閘道器單只負責無線網路認證過程,則駭客依然可以取得公司IP位,利用DoS等攻擊癱瘓網路服務,因此網管人員必須取得員工無線網卡的Mac Address,若遭受攻擊即可取得攻擊來源,即時中斷訊號,或更進一步採用802.1x認證方式,提高無線網路安全程度。近來熱門的Wireless IDS/IPS更從無線的角度出發,分析無線訊號封包,只要流量異常,更會自動阻檔無線訊號,只是企業必須花費更多的成本建置外,也會增加網管人員的負擔,可適自行需求使用。

目前無線網路標準逐漸更新,舊款無線基地的韌體也已經無法符合現階段使用(例如不支援802.1x或802.1i等安全認證標準),而且筆記型電腦的普及,也提高無線網路需求量,舊思唯下的無線環境已經無法符合現在企業的需求,網管人員勢必要重新思考規畫無線網路,只是規畫時,必須考慮無線網路部署、管理、維護及安全等面向,才能有效提供無線網路服務。文⊙蘇碩鈞
回覆
冷日
(冷日)		 發表時間:2005/6/27 2:13
Webmaster
  • 註冊日: 2008/2/19
  • 來自:
  • 發表數: 15771
[分享]部署安全的無線網路3階段
部署安全的無線網路3階段

企業安全無線網路包括從身分認證、偵測訊號到阻檔訊號等3個階段,不同階段對應到不同層面的產品,包括無線閘道器、無線基地臺、WLAN交換器、Wireless IDS/IPS等設備,採購前先評估企業本身需要哪種等級的安全,再依據預算成本分析,較能選購適合的解決方案,我們整理3階段的特色,提供採購時參考規畫。

第1階段:人員身分認證
這是一般建置無線網路的方式,透過閘道器整合帳號資料庫,利用認證(Authentication)、授權(Authorization)及計費(Accounting),確保人員能正確登入網路,也能自定使用者權限或結合802.1x方式,提高無線網路安全,此外,還能分析網路流量,保護無線網路抵擋DoS等攻擊,一般通常採用網頁認證方式,前端部署無線基地臺後,將驗證方式導入後端架設控制閘道器即可,使用者連線無線基地臺後,會強迫導入無線閘道器的認證網頁,確認人員資料,並提供相關網路服務,Hot Spots、中小企業、區域醫院大多採用此方式,價格從十多萬元到上百萬元,可選擇廠商有D-Link、傳象、傳易、Bluesocket等。

第2階段:偵測無線訊號
透過閘道器認證身分後,若需要分析無線訊號的來源資料,則可採用偵測無線訊號產品(類似Wireless IDS),某些廠牌的無線基地臺(例如Planet、Orinoco)已具備此功能,不需要採購相關設備。若大量部署需要集中搜集、分析並管理訊號,可架設後端管理系統,擷取訊號資料並以報表呈現,而且像Cisco WLES配合Cisco Aironet無線基地臺,還能集中操作各基地臺的設定,減少需要操作每臺設備的麻煩,但這類型產品只能提供警示能力,若遭受攻擊,則只能透過後端閘道器處理,並沒有主動反制能力。

第3階段:阻檔非法訊號
這階段的產品,除了具備前兩階段產品特質外,更能從無線網路主動反制攻擊,包括WLAN交換器與專門Wireless IPS,WLAN交換器配合Thin AP,Thin AP可做為傳輸模式及偵測模式,可自動分析偵測無線訊號外,若發現非法訊號,更能依據管理政策攔截或阻檔訊號傳遞,缺點是所有設備必須採用同一品牌產品,彈性較小;Wireless IPS則提供硬體感應器,透過聽(Listen)封包的概念分析資料,也能依據公司政策,阻檔訊號傳遞,只是不具認證、訊號管理等能力,必須搭配無線閘道器使用,而且需要操作數臺設備,較為繁雜,適合對安全等級要求較高的企業,例如高科技公司、政府學校、軍事單位等組織,WLAN交換器廠商有AireSpace、Aruba、3com、NEC,Wireless IPS則有AirMagnet、AirDefense、BlueSecure IPS。文⊙蘇碩鈞
回覆
冷日
(冷日)		 發表時間:2005/6/27 2:14
Webmaster
  • 註冊日: 2008/2/19
  • 來自:
  • 發表數: 15771
[分享]部署無線網路考量因素
部署無線網路考量因素

部署無線網路不只是考量無線基地臺端,更要分析後續管理維護事宜,我們區分為公司環境、無線基地臺、管理方式、安全等級及公司政策等各面向,並提出各面向中需要注意的問題,提供建置參考。

分析環境
1.有哪些是無線網路的干擾源,需要避開干擾源,或以強波突破?
2.是否隔間眾多,隔間的種類是否影響訊號收發(水泥隔間影響較嚴重)?
3.是否需要保證最低頻寬需求,或者有哪些地方需要穩定的頻寬品質?
4.無線訊號需要涵蓋全公司,或者只有部分環境需求?
5.辦公室約有幾成員工需求無線網路,預估各部門同時無線上網人數?
6.無線網路以802.11b/g為主、或a/b/g(同時支援802.11a/b/g的基地臺較貴)?

部署無線基地臺
1.採用同一品牌(適用大量部署,可由該品牌提供管理系統),或分批採購不同廠牌(適合小量部署,需操作每臺基地臺)?
2.是否需要安全加密機種,或由後端系統管理?
3.部署環境是否有電源供電,或是採用PoE供電?
4.是否需要外接天線提升涵蓋範圍,或部署多臺基地臺,確保傳輸品質?
5.部署環境是否潮溼,需要保護裝置?
6.是否需要選購掉掛設備,以放置在天花板或牆壁上?

控制管理閘道器
1.是單純無線閘道器,或整合型WLAN交換器?
2.採用哪種AAA(Authentication、Authorization、Accounting)認證?
3.是否需要自動調整訊號功率,提供無接縫的無線環境?
4.採用各別政策,或可以整合公司管理政策?
5.是否支援VPN、IPSec/L2TP,可遠端登入?
6.是否需要頻寬管理及防火牆功能,或更高等級加密?

安全管理
1.如何導入員工權限?
2.如何區分及認證不同人員權限服務?
3.是否需要加密前端無線基地臺訊號,或只認證後端人員資料,還是派發CA,提供802.1x?
4.是否需要偵測、定位或阻檔非法無線訊號?
5.收集員工電腦無線網卡資料

政策配合
1.了解無線網路應用範圍
2.是需要區分有線及無線網路服務
3.了解資訊部門能管制的無線範圍,是否需要分開研發測試部門的網路應用
4.限制使用無線網路的時間、地點等
5.要嚴格管制無線基地臺接取節點
回覆
冷日
(冷日)		 發表時間:2005/6/28 16:57
Webmaster
  • 註冊日: 2008/2/19
  • 來自:
  • 發表數: 15771
[分享]企業無線網路採購注意事項
企業無線網路採購注意事項

我們將安全的企業無線網路分為人員身分認證、偵測無線訊號(IDS)、阻檔非法訊號(IPS)等3階段,本次採購特輯涵蓋此3階段,採購時除了考慮企業需求及預算外,每種設備的功能及計價方式不同,更直接反應建置成本,我們提出幾點注意事項,提供採購時參考。

無線基地臺是否支援PoE
以本次採購特輯的無線基地臺為例,PoE(Power over Ethernet)為基本配備,因為無線基地臺多隱藏於天花版或牆壁上,這些位置大多不具備電源插座,也不可能額外牽電源線,因此企業級無線基地臺應具備PoE功能,只要具備10/100BASE-T即可,不用額外佈署電源線,建置方式也較容易,只是必須搭配PoE交換器,而PoE交換器的價格差距也很大,例如3Com 24埠的PoE交換器支援SNMP約近10萬元,無支援SNMP則約5萬元,而且目前PoE交換器大都超過12埠,若部署點不足,選擇彈性也較小,不過也可以選購單埠PoE供電器,一面接上電源線及10/100BASE-T,另一面則提供PoE功能,能較具彈性配合使用,若還是考量採用無線基地臺的電源線,則必須了解電源線是否為選購配件,先比較PoE與電源線的價差,再決定採購產品。

是否需要外接天線
無線基地臺的天線基本配備為2db,採用外接式天線,雖然可提升涵蓋範圍,但還是只有單臺無線基地臺負責效能,多人同時上線時,頻寬共享反而減少傳輸效率,使用多臺無線基地臺部署,傳輸效能較好,但部署成本也較高,選購時可依環境需求添購,例如員工會集中在單一會議室開會,無線網路需求較高,可採用部署多臺無線基地的方法,若會議室只提供訪客參訪或較少人數開會時,則可考慮外接式天線,減少成本支出。

各家計價方式不同
我們這次採購各家提供的計價方式不盡相同,有的產品只需要單一廠商(3com、Aruba、Nortel、Bluesocket)就可提供,有的則組合不同品牌產品(AirMagnet結合Symbol),其中WLAN交換器架構從前端無線基地臺到後端WLAN交換器都必須採用同一廠牌,選購彈性較小,而無線閘道器架構則可採用不同品牌的無線基地臺、無線閘道器及Wireless IDS/IPS,採購彈性較多元,其中後端的管理設備(WLAN交換器及無線閘道器)計價方式也很複雜,有些以單一設備為主、或必須額外採購配備、甚至還有採用限制頻寬流量的方式,採購彈性較高,能依據企業不同需求,提供不同功能。

部署無線網路附近的干擾來源
無線訊號並不是穩定性的功率,牆壁、電梯、微波爐等都會干擾訊號效能,目前主流的802.11b/g,採用2.4GHz頻道,干擾源更嚴重,部署時要先分析公司環境,是否需要避免干擾源、或以高功率電波突破,若要在干擾源眾多的情況下部署無線環境,可能需要更多相關設備,成本相對提高,而且802.11b/g的頻道中,只有1、6、11屬於獨立的頻道,相互干擾較小,當部署多臺基地臺後,也要考量如何區分各頻道,以減少基地臺間相互干擾的問題。以上是本次廠商提供不同無線設備的差異,除此之外,公司環境、無線基地臺的類型、管理設備、安全等級及企業政策等問題,也是建置時必須一併考慮的問題。文⊙蘇碩鈞
回覆
冷日
(冷日)		 發表時間:2005/6/28 16:57
Webmaster
  • 註冊日: 2008/2/19
  • 來自:
  • 發表數: 15771
[分享]建置安全無線網路實例解析
建置安全無線網路實例解析

要打造安全的無線環境,必須考量的不僅是覆蓋率、頻寬等的使用性問題,重要的是如非法無線基地臺、使用者、無線溢波,或是否受到其他公司的無線基地臺干擾,會不會成為駭客入侵的大門等;要解決這些問題,就必須從公司環境、使用需求、使用人數等方面著手,才能以最合理的價格,為公司量身訂做一個既安全又切合需求的無線網路環境。

我們實際訪談已建置完成的大同大學與撼訊科技,具體呈現其環境需求與建置考量,雖兩者需求與環境大異其趣,但綜觀其設置與做法,仍不脫以無線網路安全、基地臺部署方式以及使用者管理三項重點為主要考量。

偵測警示非法訊號,捍衛無線安全
真正要達到無線網路安全,除偵測之外,更必須要能夠阻擋;而大同大學與撼訊科技所採用的設備均能主動阻擋非法無線訊號,不過判定無線基地臺合法性仍有困難,很容易不慎影響相鄰企業設置的合法無線訊號,故皆僅以人工判別方式處理。

大同大學採用AireSpace無線網路交換器搭配專用Thin AP,能偵測與阻擋非法訊號,除切割VLAN與有線網路隔離外,另自行開發管理軟體,能監控無線訊號流量,即時以警訊方式通知管理者判別處理。

撼訊科技則使用AirMagnet Enterprise,部署感應器,當偵測到非法無線訊號與設備負載超過70%時,即自動通知管理者處理,以強化無線網路安全。

依環境形勢部署無線基地臺
大同大學建置校園室外無線網路,環境較為單純,但無線基地臺除供電不便外,管理亦較為困難;所以基地臺部署重視集中管理與PoE供電,並依不同環境架設無線基地臺;所以採用可集中管理的無線網路交換器產品,在邊緣交換器端搭配PoE轉接器以供應電源,並加裝防水盒保護無線基地臺,以防風雨侵襲,且依環境分為直立式、壁掛式與吸壁式三種設置方式。

而撼訊科技因處樓層式環境,範圍較小,供電與管理方便,但四周合法無線基地臺眾多,頻道易互相干擾,且必須以舊有設備為基礎,建置符合需求的無線網路。故他們將無線基地臺全部隱藏於天花板內,美化辦公環境,因範圍較小,使用AC電源供電便已足夠;但由於所使用的無線基地臺均為Fat AP,無法集中管理,所以分別將頻道設定為1、6、11,避免訊號互相干擾。

整合AD,統一管理使用者
考量統一管理帳號與使用者登入的方便性,大同大學與撼訊科技均相當重視認證管理,強調必須與AD結合,除方便使用者登入外,更能以設定多重密碼的方式,強化認證安全,並同時增加漫遊功能。
大同大學無線網路透過RADIUS與AD結合,採單一簽入方式,讓使用者以相同帳號、多重密碼登入所有網路服務,能統一認證管理,方便使用者登入;且支援802.11x認證。

撼訊科技認證方式則先要求員工提報連網設備的MAC address位址,再依位址發放使用者帳號密碼,以Web介面方式要求員工登入;將來預計添購無線網路閘道器,整合AD統一管理使用者、並恢復漫遊功能,日後亦會進一步加入802.11x認證,有效強化認證安全。文⊙王唯至
回覆
主題一覽的下方
討論串
前一個主題 | 下一個主題 | 頁首 | | |

Powered by XOOPS 2.0 © 2001-2008 The XOOPS Project|